(1)   Mit diesem Beschluss werden interne Vorschriften in Bezug auf die Bedingungen festgelegt, unter denen die ESMA im Rahmen ihrer in den Absätzen 2 bis 5 aufgeführten Tätigkeiten nach Artikel 25 der Verordnung (EU) 2018/1725 die Anwendung der Rechte beschränken darf, die in den Artikeln 14 bis 21 und 35 sowie in Artikel 4 der genannten Verordnung verankert sind. Diese Beschränkungen lassen die in der Verordnung (EU) 2018/1725 geregelten Ausnahmen bezüglich der Rechte betroffener Personen unberührt.

(2)   Im Rahmen der administrativen Tätigkeit der ESMA finden die in Absatz 1 dieses Artikels vorgesehenen Beschränkungen Anwendung auf die Verarbeitung personenbezogener Daten durch die ESMA zum Zwecke:

(3)   Im Rahmen der Wahrnehmung der Aufgaben der ESMA gelten die in Absatz 1 dieses Artikels vorgesehenen Beschränkungen für die Verarbeitung personenbezogener Daten durch die ESMA zum Zwecke:

(4)   Darüber hinaus finden diese Beschränkungen Anwendung auf die Unterstützung, Koordinierung und/oder Zusammenarbeit, die ESMA nationalen Wertpapier- und Marktaufsichtsbehörden wie auch den Behörden von Drittstaaten und internationalen Organisationen im Zusammenhang mit Untersuchungen leistet, die diese im Rahmen ihres gesetzlichen Auftrags durchführen.

(5)   Die in Absatz 1 dieses Artikels genannten Beschränkungen finden auch Anwendung auf Verarbeitungsvorgänge, die vor der Einleitung der vorstehend in den Absätzen 2 bis 4 genannten Untersuchungen oder sonstigen Verwaltungsuntersuchungen, während dieser Untersuchungen und bei der Überwachung der aufgrund der Untersuchungsergebnisse getroffenen Folgemaßnahmen vorgenommen werden.

(6)   Dieser Beschluss gilt für jede Kategorie personenbezogener Daten, die im Zusammenhang mit den vorstehend in den Absätzen 2 bis 5 genannten Tätigkeiten verarbeitet werden.

(7)   Vorbehaltlich der in diesem Beschluss genannten Bedingungen können die Beschränkungen für die folgenden Rechte Anwendung finden: Recht auf Unterrichtung der betroffenen Personen, Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Personen.

(1)   Verletzungen des Schutzes personenbezogener Daten, Datenverluste oder die unbefugte Weitergabe im Rahmen der in Artikel 1 genannten Untersuchungen werden durch die folgenden Schutzmaßnahmen verhindert:

(2)   Der für die Verarbeitungsvorgänge Verantwortliche ist die ESMA, die von ihrem Exekutivdirektor vertreten wird, der die Funktion des Verantwortlichen delegieren kann. Die betroffenen Personen werden durch die auf der Website der ESMA veröffentlichten Datenschutzaufzeichnungen darüber unterrichtet, an welche Person die Verantwortung für die Verarbeitung delegiert wurde.

(3)   Die Aufbewahrungsfrist für die verarbeiteten personenbezogenen Daten darf nicht länger sein als erforderlich und muss den Zwecken, zu denen die Daten verarbeitet werden, angemessen sein. Die Aufbewahrungsfrist ist in den in Artikel 5 Absatz 1 genannten Datenschutzaufzeichnungen und Datenschutzerklärungen anzugeben.

(4)   Wenn die ESMA die Vornahme einer Beschränkung in Betracht zieht, werden die Risiken für die Rechte und Freiheiten der betroffenen Personen abgewogen, insbesondere gegenüber dem Risiko für die Rechte und Freiheiten anderer betroffener Personen sowie dem Risiko, dass die Wirksamkeit der von der ESMA durchgeführten Untersuchungen oder Verfahren, z. B. durch Vernichtung von Beweismaterial, zunichtegemacht wird. Die Risiken für die Rechte und Freiheiten der betroffenen Personen erstrecken sich u. a. in erster Linie auf Risiken im Zusammenhang mit der Reputation, dem Verteidigungsrecht und dem Anspruch auf rechtliches Gehör.

(1)   Beschränkungen werden von der Agentur nur zu folgenden Zwecken vorgenommen:

(2)   Im Rahmen einer spezifischen Anwendung zu den in Absatz 1 genannten Zwecken kann die Agentur unter den folgenden Umständen Beschränkungen für personenbezogene Daten vornehmen, die mit den Dienststellen der Kommission oder anderen Organen, Einrichtungen und sonstigen Stellen der Union, den zuständigen Behörden der Mitgliedstaaten oder Drittländern oder internationalen Organisationen ausgetauscht werden:

(3)   Jede Beschränkung muss eine notwendige und verhältnismäßige Maßnahme darstellen und die Risiken für die Rechte und Freiheiten betroffener Personen und den Wesensgehalt der Grundrechte und -freiheiten in einer demokratischen Gesellschaft achten.

(4)   Wenn die Anwendung einer Beschränkung in Betracht gezogen wird, wird eine Prüfung auf Notwendigkeit und Verhältnismäßigkeit auf der Grundlage der vorliegenden Vorschriften durchgeführt. Für Zwecke der Rechenschaftspflicht ist dies in jedem Fall durch einen internen Bewertungsvermerk zu dokumentieren.

(5)   Beschränkungen werden aufgehoben, sobald die Umstände, die sie rechtfertigen, nicht mehr gelten. Insbesondere wenn davon ausgegangen wird, dass die Ausübung des beschränkten Rechts die Wirksamkeit der verhängten Beschränkung oder die Rechte oder Freiheiten anderer betroffener Personen nicht mehr beeinträchtigt.

(1)   Der für die Verarbeitung Verantwortliche unterrichtet den Datenschutzbeauftragten („DSB“) unverzüglich, wenn der für die Verarbeitung Verantwortliche gemäß diesem Beschluss die Rechte betroffener Personen beschränkt oder eine Beschränkung ausweitet. Der für die Verarbeitung Verantwortliche gewährt dem DSB Zugang zum internen Vermerk, der die Bewertung der Notwendigkeit und Verhältnismäßigkeit der Beschränkung sowie gegebenenfalls die tatsächlichen und rechtlichen Grundlagen enthält, und dokumentiert das Datum, an dem der DSB unterrichtet wird.

(2)   Der DSB kann den für die Verarbeitung Verantwortlichen schriftlich zur Überprüfung der vorgenommenen Beschränkungen auffordern. Der DSB wird von dem für die Verarbeitung Verantwortlichen schriftlich über das Ergebnis der Überprüfung unterrichtet.

(3)   Der DSB wird von dem für die Verarbeitung Verantwortlichen unterrichtet, wenn die Beschränkung aufgehoben wurde.

(4)   Der für die Verarbeitung Verantwortliche dokumentiert die Einbeziehung des DSB in den verschiedenen Verfahrensphasen, beginnend mit dem Datum der Unterrichtung des DSB.

(5)   Der interne Vermerk sowie gegebenenfalls die tatsächlichen und rechtlichen Grundlagen sind dem Europäischen Datenschutzbeauftragten auf Verlangen zur Verfügung zu stellen.

(1)   Die ESMA veröffentlicht auf ihrer Website Datenschutzaufzeichnungen zur Information aller betroffenen Personen über die Tätigkeiten der ESMA im Zusammenhang mit der Verarbeitung personenbezogener Daten; diese beinhalten auch Informationen über die mögliche Beschränkung der Rechte betroffener Personen.

(2)   Die ESMA informiert jede einzelne betroffene Person, die nach Ansicht der ESMA von der Untersuchung oder Ermittlung betroffen ist, unverzüglich schriftlich über die Datenschutzaufzeichnungen für den betreffenden Verarbeitungsvorgang.

(3)   In hinreichend begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann die ESMA das in Absatz 2 niedergelegte Recht auf Unterrichtung der betroffenen Personen ganz oder zum Teil beschränken. In diesem Fall erfasst sie in einem internen Vermerk die Gründe für die Beschränkung und den Rechtsgrund gemäß Artikel 3 dieses Beschlusses, einschließlich einer Bewertung der Notwendigkeit und Verhältnismäßigkeit der Beschränkung.

(4)   Die in Absatz 3 genannte Beschränkung gilt, solange die Gründe dafür weiterhin vorliegen.

Wenn die Gründe für die Beschränkung nicht mehr vorliegen, unterrichtet die ESMA die betroffene Person über die einschlägigen Datenschutzaufzeichnungen und die Hauptgründe für die Beschränkung. Die Unterrichtung kann damit verbunden werden, der betroffenen Person Gelegenheit zu geben, im Rahmen der Ausübung ihrer Verteidigungsrechte zu den im Zuge der laufenden Untersuchung oder Ermittlungen getroffenen Feststellungen Stellung zu nehmen. Gleichzeitig teilt die ESMA der betroffenen Person mit, dass sie jederzeit Beschwerde beim Europäischen Datenschutzbeauftragten oder einen gerichtlichen Rechtsbehelf beim Gerichtshof der Europäischen Union einlegen kann.

Die ESMA muss eine Beschränkung alle sechs Monate, nachdem sie vorgenommen wurde, sowie nach Abschluss der entsprechenden Ermittlungen oder Untersuchung überprüfen.

(1)   Hinsichtlich eines von einer betroffenen Person gestellten Antrags kann die ESMA das Recht der betroffenen Person, eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten im Zusammenhang mit einer Untersuchung oder Ermittlung im Sinne von Artikel 1 dieses Beschlusses von der ESMA verarbeitet werden, sowie gegebenenfalls das Recht auf Auskunft über die personenbezogenen Daten und sonstige in Artikel 17 der Verordnung (EU) 2018/1725 genannte Informationen ganz oder zum Teil beschränken.

(2)   Wenn die ESMA das Recht auf Auskunft beschränkt, unterrichtet sie die jeweils betroffene Person in ihrer Antwort auf den Antrag über die vorgenommene Beschränkung und die Hauptgründe dafür sowie über die Möglichkeit, Beschwerde beim Europäischen Datenschutzbeauftragten oder einen gerichtlichen Rechtsbehelf beim Gerichtshof der Europäischen Union einzulegen.

(3)   Die Unterrichtung nach Absatz 2 kann zurückgestellt, unterlassen oder abgelehnt werden, wenn sie die Wirkung der gemäß Artikel 25 Absatz 8 der Verordnung (EU) 2018/1725 angewendete Beschränkung zunichtemachen würde. Ist dies der Fall, dokumentiert die ESMA die Gründe für die Beschränkung in Form eines internen Bewertungsvermerks, einschließlich einer Bewertung der Notwendigkeit und Verhältnismäßigkeit der Beschränkung und ihrer Dauer.

(4)   Die ESMA muss eine Beschränkung alle sechs Monate, nachdem sie vorgenommen wurde, sowie nach Abschluss der entsprechenden Ermittlungen oder Untersuchung überprüfen.

(1)   Geht im Zusammenhang mit einer Untersuchung oder Ermittlung gemäß Artikel 1 dieses Beschlusses ein Antrag einer betroffenen Person ein, so kann die ESMA das in den Artikeln 18, 19 und 20 der Verordnung (EU) 2018/1725 vorgesehene Recht dieser betroffenen Person auf Berichtigung der sie betreffenden personenbezogenen Daten bzw. auf Löschung oder Einschränkung der Verarbeitung ihrer personenbezogenen Daten ganz oder zum Teil beschränken.

(2)   Wenn die Agentur das vorgenannte Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung beschränkt, ergreift sie die in Artikel 6 Absätze 2 und 3 dieses Beschlusses genannten Maßnahmen.

(3)   Die ESMA muss eine Beschränkung alle sechs Monate, nachdem sie vorgenommen wurde, sowie nach Abschluss der entsprechenden Ermittlungen oder Untersuchung überprüfen.

(1)   Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt die ESMA die von der Verletzung betroffene Person unverzüglich gemäß Artikel 35 der Verordnung (EU) 2018/1725.

(2)   In hinreichend begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann die ESMA das in Absatz 1 dieses Artikels niedergelegte Recht auf Unterrichtung der betroffenen Personen ganz oder zum Teil beschränken. In diesem Fall erfasst sie in einem internen Vermerk die Gründe für die Beschränkung und den Rechtsgrund gemäß Artikel 3 dieses Beschlusses, einschließlich einer Bewertung der Notwendigkeit und Verhältnismäßigkeit der Beschränkung.

(3)   Die in Absatz 2 genannte Beschränkung gilt, solange die Gründe dafür weiterhin vorliegen.

Wenn die Gründe für die Beschränkung nicht mehr vorliegen, unterrichtet die ESMA die betroffene Person über die Verletzung des Schutzes personenbezogener Daten und teilt der betroffenen Person die Hauptgründe für die Beschränkung mit. Gleichzeitig teilt die ESMA der betroffenen Person mit, dass sie jederzeit Beschwerde beim Europäischen Datenschutzbeauftragten oder einen gerichtlichen Rechtsbehelf beim Gerichtshof der Europäischen Union einlegen kann.

Die ESMA muss eine Beschränkung alle sechs Monate, nachdem sie vorgenommen wurde, sowie nach Abschluss der entsprechenden Ermittlungen oder Untersuchung überprüfen.